# ターゲット指定 (参照)

<figure><img src="/files/mSxjzAc4PBkUK26IgbOt" alt=""><figcaption></figcaption></figure>

本節では、ポリシーと構成の適用先を**アプリケーション**、**マシン**、**オペレーティングシステム**、**ユーザー**の観点でどう絞り込むか、また**変数**と**ワイルドカード**で指定を簡潔に保ちつつ拡張しやすくする方法を説明します。

### アプリケーション、マシン、OS、ユーザーのターゲット指定

ポリシーとデプロイの適用範囲は、**誰** (ユーザー)、**何** (アプリケーション、コマンド、ファイル)、**どこ** (マシン、オペレーティングシステム) で決まります。ポリシーや展開グループを作成するときに**フィルター**で指定します。

#### アプリケーション

* **概要:** ポリシー評価の対象となる、ユーザーが起動済みまたは起動しようとしている実行ファイルやアプリ。例: `notepad.exe`、`cmd.exe`、または `C:\Program Files\MyApp\app.exe` のようなパス。
* **指定方法:** ポリシーのアプリケーションフィルターで、適用するアプリケーションを指定します。完全一致の名前、パス、または変数とワイルドカードを使ったパターンが使えます (後述)。アプリ単位で昇格、ファイルアクセス、コマンド実行を許可または制限できます。

<figure><img src="/files/AzytrsSxlUvmEEt3ddQS" alt=""><figcaption></figcaption></figure>

#### マシン

* **概要:** エージェントが動いているエンドポイント (コンピューターまたはデバイス)。ホスト名、展開グループ、またはコンソールが使うその他の識別子でマシンを指定できます。
* **指定方法:** ポリシーのマシンフィルター (または展開グループの割り当て) で、適用するマシンを選びます。コレクションやグループを使うと、1件ずつ列挙せずに多数のマシンを1本のポリシーで扱えます。

<figure><img src="/files/tkJa2umyeWKBiiAhzoTF" alt=""><figcaption></figcaption></figure>

#### オペレーティングシステム

* **概要:** エンドポイントのOS。Windows、Linux、macOSの3つです。Keeperエンドポイント特権マネージャー (EPM) はいずれにも対応しており、ポリシーとジョブは複数OS共通の定義にも、OSごとの定義にもできます。
* **指定方法:** ポリシーやジョブを定義するとき、必要に応じてプラットフォームで範囲を限定できます。パス変数 (後述) を使うと、OSごとに正しいパスに置き換えられます。

<figure><img src="/files/KlZwINPwxCypnQ2ArQHf" alt=""><figcaption></figcaption></figure>

#### ユーザー

* **概要:** 操作の主体となる、エンドポイント上またはディレクトリサービス上 (例: AD/Azure AD) のユーザーアカウントまたはグループ。
* **指定方法:** ポリシーのユーザーフィルターで、適用するユーザーまたはグループを指定します。コレクションとワイルドカードを使えば、1本のポリシーを多数のユーザーに適用できます。

<figure><img src="/files/foWVVZnKaTxPpX2GEk5Q" alt=""><figcaption></figcaption></figure>

ポリシー内のフィルター (ユーザー、マシン、アプリケーション、および日時ルール) が**すべて**一致すると、その要求に対して**そのポリシーが適用候補**になります。続いて優先順位のルール (例: より具体的なポリシーが広いポリシーより優先) に従って実際に効くポリシーが決まり、そのポリシーに定められたコントロールが適用されます。ポリシーの挙動の詳細は、[ポリシーの詳細](/keeperpam/jp/endpoint-privilege-manager/setup/policies.md)をご参照ください。

## 変数

**変数**は、各エンドポイント上で実際のパスや値に展開されるプレースホルダーです。**1つ**のポリシーで多数のマシンとOSに対応でき、パスをハードコードしなくてよくなります。

#### 書式

変数は波括弧で囲みます。形式は `{variableName}` のようになります。例: `{userprofile}` はWindowsでは `C:\Users\jane`、macOSでは `/Users/jane` に展開されることがあります。

#### よく使う変数 (例)

ポリシーフィルターや構成で、例として次のような変数が使えます (正確な名前は製品のバージョンによります。ここでは代表的な例です)。

* **全プラットフォーム:** `{rootdir}`、`{documents}`、`{userdesktop}`、`{home}`、`{tmp}`。
* **Windows:** `{systemroot}`、`{system32}`、`{programfiles}`、`{userprofile}`、`{appdata}`、`{programdata}`、`{temp}`。
* **Linux/macOS:** `{bin}`、`{etc}`、`{usr}`、`{var}`、`{applications}` (macOS)、`{library}` (macOS)。

`C:\Users\*` や `/Users/*` と書く代わりに `{userprofile}` や `{home}` を使うと、同じポリシーがWindowsとmacOSの両方で使えます。各エンドポイントでは、評価のタイミングでこれらが展開されます。

#### 変数を使う理由

* **クロスプラットフォーム:** 1本のポリシーでWindows、Linux、macOSに対応できる。
* **保守しやすい:** ドライブ文字やインストール先が変わってもパスを更新しなくてよい。
* **一貫している:** 論理的な意味がどこでも同じ (例: 「ユーザーのドキュメント」は常に `{documents}`)。

コンソールやポリシーエディターが変数に対応している箇所 (例: アプリのパス、ファイルパス、フォルダフィルター) では、変数を使ってください。

変数の詳細については、[変数](/keeperpam/jp/endpoint-privilege-manager/policies/path-variables.md)をご参照ください。

## ワイルドカード

**ワイルドカード**を使うと、1つのルールで**多数**の名前やパスにまとめて一致させられ、アプリやファイルを1件ずつ列挙する手間を減らせます。

#### 一般的な動作

* `*` は、多くの場合、その位置の名前やパスで「任意の文字列」に一致します。例: `*.exe` は `.exe` で終わる実行ファイルすべてに一致します。`{programfiles}\*\*.exe` は Program Files 配下の任意のサブフォルダにある `.exe` に一致する場合があります。
* **パス変数**はワイルドカードと組み合わせられます。例: `{userprofile}\Documents\*.pdf` はユーザーのドキュメントフォルダ内のPDFすべてに一致します。
* **前方一致**はフォルダ指定に多く使われます。例: フォルダフィルターが `{downloads}` のとき、ユーザーのダウンロードフォルダとそのサブフォルダ内のファイルすべてに含まれる場合があります。

ワイルドカードや前方一致の細かいルールはポリシー種類 (例: アプリケーションとファイルアクセス) によって異なります。ダッシュボードまたはポリシーUIで、画面ごとに利用できるパターンが示されます。

#### ワイルドカードを使う理由

* **規模:** 1本のポリシーで多数のアプリやファイルをカバーできる (例: 「このフォルダ内のスクリプトすべて」「Program Files内の実行ファイルすべて」)。
* **柔軟性:** パターンに合う新しいアプリやファイルが自動的に対象に含まれる。
* **単純さ:** 保守するルールの数を減らせる。

アプリケーションフィルター、ファイル/フォルダフィルター、コマンドラインルールなど、ワイルドカードが使える箇所では積極的に使ってください。変数と組み合わせると、ポリシーを強力に保ちつつ運用しやすくなります。

ワイルドカードの詳細については、[ワイルドカード](/keeperpam/jp/endpoint-privilege-manager/policies/wildcards.md)をご参照ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/endpoint-privilege-manager/setup/reference-targeting.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.